Euroopan unionin tietosuoja-asetuksessa säädetään, että henkilötietojen tietoturvaloukkauksesta on ilmoitettava ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa.

Psykoterapiakeskus Vastaamo ilmoitti maanantaina, että yhtiön nykyiselle hallitukselle ja pääomistajalle ei ole kerrottu maaliskuun 2019 tietomurrosta eikä yhtiön järjestelmissä olleista tietoturvapuutteista.

Yhtiön mukaan vaikuttaa ilmeiseltä, että toimitusjohtaja Ville Tapio on ollut tietoinen tietomurrosta ja saanut tietoonsa Vastaamon tietoturvapuutteet.

Lue lisää: Psykoterapia­keskus Vastaamolla on alan silmissä kehno maine: Harhaan­johtavaa mainontaa, painostusta ja ”härskiä toimintaa”

Euroopan unionin tietosuoja-asetuksen perusteella rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä. Rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta mahdollisuuksien mukaan 72 tunnin kuluessa toimivaltaiselle valvontaviranomaiselle eli Suomessa tietosuojavaltuutetulle.

Ilmoitusta ei tarvitse tehdä, jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu ihmisten oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

Lähtökohtana EU:n tietosuoja-asetuksessa ovat hallinnolliset seuraamukset, jotka voidaan määrätä silloin, jos tietomurrosta ei ole asianmukaisesti ilmoitettu tietosuojavaltuutetulle, sanoo Helsingin yliopiston rikosoikeuden professori Kimmo Nuotio.

”Rikoslaissa ei ole säännöstä, jonka perusteella tietomurron ilmoituksen laiminlyönnistä voitaisiin tuomita rangaistukseen. Julkisella puolella vastuu tietomurrosta ilmoittamisesta toteutuu virkavastuulla. Jos virkamies laiminlyö tietomurrosta ilmoittamisen, se on virkarikos.”

Hallinnollinen seuraamus voi olla enintään kymmenen miljoonaa euroa. Jos kyseessä on yritys, seuraamus voi olla kaksi prosenttia sen edeltävän tilikauden vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi näistä on suurempi.

Vastaamon liikevaihto oli viime vuonna 14 miljoonaa euroa ja 11 miljoonaa euroa vuonna 2018. Hallinnollisen seuraamuksen määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio.

Rikosoikeuden professori Sakari Melander Helsingin yliopistosta on samaa mieltä, että tietomurrosta ilmoittamatta jättäminen tuskin voi olla rikos.

”Jos sen sijaan on tullut tietoiseksi tietoturvapuutteista eikä ole tehnyt mitään niiden korjaamiseksi, saattaisi olla, että tietosuojarikoksen tunnusmerkit ovat täyttyneet.”

Keskeinen säännös on tietosuojarikoksen toinen momentti. Sen mukaan tietosuojarikoksesta tuomitaan myös se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä säädetään henkilötietojen käsittelyn turvallisuudesta. Tietosuojarikoksesta voidaan tuomita sakkoon tai vankeuteen enintään yhdeksi vuodeksi.

Tietosuojavaltuutetun toimisto ilmoitti tiistai-iltana selvittävänsä, onko Vastaamo toiminut tietosuojalainsäädännön mukaisesti

Tietosuojavaltuutetun toimisto koordinoi selvitystoimia yhteistyössä keskusrikospoliisin ja muiden viranomaisten kanssa.

Vastaamo ilmoitti keskiviikkona 21. lokakuuta joutuneensa tietomurron kohteeksi. Maanantaina sen toimitusjohtaja Ville Tapio irtisanottiin. Tapion epäillään pimittäneen tietoa yhtiön palvelimelle tehdystä tietomurrosta yli puolentoista vuoden ajan.

Vastaamon sisäisten selvitysten perusteella vaikuttaa todennäköiseltä, että asiakastietokannan varastamiseen johtanut tietomurto on tapahtunut marraskuussa 2018.

Tietoturvayhtiö Nixun tekemässä selvityksessä on käynyt ilmi, että Vastaamoon kohdistui toinenkin tietomurto maaliskuussa 2019. Vastaamon mukaan on hyvin todennäköistä, että tässä vaiheessa toimitusjohtaja on tiennyt asiasta.

Tapauksen jälkeen identiteettivarkauksen uhriksi joutuneilta on vaadittu satojen eurojen arvosta virtuaalivaluutta bitcoineja.

Epäilty kiristäjä on väittänyt saaneensa haltuunsa jopa 40 000 potilastietoa.